Alguien sabe como Bloquear Acceso LAN, solo permitir Internet Puerto 80 y 443



  • Saludos Camaradas

    Alguien de uds. sabe como y/o que regla aplicar para bloquear acceso LAN, pero si darle internet, por lo menos http y https… Saludos y Gracias por sus comentarios y respuetas!.



  • Qué tipo de configuración tienes?  Ojalá puedas dar más información para poder ayudarte de manera adecuada.

    Saludos



  • Pues se me ocurre que en Firewall -> Rules -> LAN

    permitir todo el trafico por esos puertos que quieres
    Proto      Source              Port        Destination          Port     
    iPv4*            *                      *                      *                    80
    iPv4*            *                      *                      *                    443
    Antes bloquear todo lo que no quieras que tenga salida



  • Bloquear acceso a la LAN pero si darles internet???

    Me quiero imaginar que tienes una red LAN de tu empresa o lo que sea y estas intentando que cierto grupo de personas (dispositivos) se conecten a tu red ya sea por switch o wifi pero que no tengan acceso a tu LAN del trabajo o algo asi.

    Si lo anterior es tu situacion debes crear mas de una red y unirlas con el pfsense y ya desde El controlas con las reglas del firewall lo que si o no puede pasar de una red a otra.

    Ojala nos pudieras dar mas detalles para hacerte una mejor recomendacion.

    En lo personal asi tengo en mi trabajo separados a los clientes del wifi de la red Coorporativa, mediante VLANs en switches administrables. Y controlo el acceso entre redes mediante el PFSENSE para que los de la red wifi logren comunicarse con la red Coorporativa.



  • Prácticamente no puedes hacer eso, si vas a dar internet tienes que habilitar también el puerro del dns por que sin el puedes resolver nombre para poder salir a internet,

    No te queda mejor un servidor proxy (squid)?



  • …Gracias colegas por sus comentarios, ps en realidad no tengo nada de squid ni proxy, simplemente el firewall, y unas reglas que permiten trafico icmp, http y https. Perdon creo que no explique bien...

    Tengo implementado un WISP con ubiquiti, y necesito que un usuario no pueda acceder a http://10.10.1.89:8090, he intentado con:

    action    Proto      Source              Port        Destination          Port     
    block    iPv4/tcp    Deny                  *          10.10.1.89          80

    pero no, onde estara el clavito!???

    Gracias


  • Rebel Alliance

    Y "esa" IP "10.10.1.89" es la IP de la LAN del pfSense ?

    El "usuario" al que quieres "bloquear" el acceso a dicha IP, tiene la IP ??

    https://forum.pfsense.org/index.php?topic=23265.0

    Revisa/Lee:

    https://doc.pfsense.org/index.php/Firewall_Rule_Basics

    https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order

    https://doc.pfsense.org/index.php/Firewall_Rule_Troubleshooting

    Edit:

    en las "imagenes" adjuntas de estos posts puedes ver ejemplos de Reglas de FW, en una interface (W311U) utilizada para "clientes inalámbricos"  permitiendo "navegación" pero "bloqueando" acceso al "webconfigurator" y a los recursos de la LAN (excepto par los "administradores")

    https://forum.pfsense.org/index.php?topic=73651.msg402355#msg402355

    https://forum.pfsense.org/index.php?topic=101279.msg566723#msg566723